Skip to main content
Data Infrastructure Insights
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ワークロードのセキュリティ:攻撃のシミュレーション

共同作成者 netapp-alavoie
PDF

このページの手順を使用して、付属のランサムウェアシミュレーションスクリプトを使用して、ワークロードセキュリティをテストまたは実証する攻撃をシミュレートできます。

始める前に注意してください

  • ランサムウェアシミュレーションスクリプトは Linux でのみ動作します。シミュレーション スクリプトは、ユーザーが ONTAP ARP を Workload Security と統合した場合に、高信頼度アラートも生成する必要があります。

  • Workload Security は、ONTAP バージョンが 9.15 以上の場合にのみ、NFS 4.1 で生成されたイベントとアラートを検出します。

  • このスクリプトは、Workload Securityエージェントのインストールファイルとともに提供されます。ワークロードセキュリティエージェントがインストールされているすべてのマシンで使用できます。

  • このスクリプトは、Workload Securityエージェントマシン自体で実行できます。他のLinuxマシンを準備する必要はありません。ただし、スクリプトを別のシステムで実行する場合は、スクリプトをコピーしてそこで実行するだけです。

  • ユーザーは、自分の好みやシステム要件に応じて、Python スクリプトまたはシェル スクリプトのいずれかを選択できます。

  • Pythonスクリプトには前提条件となるインストールが必要です。Pythonを使用しない場合は、シェルスクリプトを使用してください。

ガイドライン:

このスクリプトは、暗号化対象となる多数のファイル(サブフォルダ内のファイルも含め、理想的には100個以上)を含むフォルダを含むSVMで実行する必要があります。ファイルが空でないことを確認してください。

アラートを生成するには、テストデータを作成する前にコレクターを一時停止します。サンプルファイルが生成されたら、コレクターを再開し、暗号化プロセスを開始します。

手順:

システムを準備します。

まず、ターゲットボリュームをマシンにマウントします。NFSまたはCIFSエクスポートのいずれかをマウントできます。

Linux で NFS エクスポートをマウントするには、次の手順を実行

mount -t nfs -o vers=4.0 10.193.177.158:/svmvol1 /mntpt
mount -t nfs -o vers=4.0 Vserver data IP>:/nfsvol /destinationlinuxfolder

NFS バージョン 4.1 はマウントしないでください。 FPolicy ではサポートされていません。

Linux で CIFS をマウントするには:

mount -t cifs //10.193.77.91/sharedfolderincluster /root/destinationfolder/ -o username=raisa

ONTAP Autonomous ランサムウェア保護を有効にする(オプション):

ONTAP クラスタのバージョンが 9.11.1 以上の場合は、ONTAP コマンド コンソールで次のコマンドを実行して、ONTAP ランサムウェア保護サービスを有効にできます。

 security anti-ransomware volume enable -volume [volume_name] -vserver [svm_name]
次に、 Data Collector をセットアップします。

  1. ワークロードセキュリティエージェントがまだ構成されていない場合は構成します。

  2. まだ行っていない場合は、SVM データ コレクターを構成します。

  3. データ コレクターを構成するときに、マウント プロトコルが選択されていることを確認します。

プログラムでサンプル ファイルを生成します。

ファイルを作成する前に、まず停止するか、 "データ収集装置を一時停止する"処理。

シミュレーションを実行する前に、暗号化するファイルを追加する必要があります。暗号化するファイルを手動でターゲットフォルダにコピーするか、付属のスクリプトのいずれかを使用してプログラム的にファイルを作成することができます。どちらの方法を使用する場合でも、暗号化するファイルが少なくとも100個あることを確認してください。

プログラムでファイルを作成する場合は、シェルまたは Python を使用できます。

シェル:

  1. [ エージェント ] ボックスにログインします。

  2. ファイラーの SVM からエージェント マシンに NFS または CIFS 共有をマウントします。CD をそのフォルダに移動します。

  3. エージェントのインストール ディレクトリ (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/shell/create_dataset.sh) からスクリプトをターゲットのマウント場所にコピーします。

  4. マウントされたディレクトリ (例: /root/demo) 内のスクリプトを使用して次のコマンドを実行し、テスト データセット フォルダーとファイルを作成します。

     './create_dataset.sh'
. これにより、「test_dataset」というディレクトリの下のマウント フォルダー内に、さまざまな拡張子を持つ空でないファイル 100 個が作成されます。

パイソン:

Python スクリプトの前提条件:

  • Python をインストールします (まだインストールされていない場合)。

    • Python 3.5.2以上をダウンロード https://www.python.org/

    • Pythonのインストールを確認するには、 python --version

    • Python スクリプトはバージョン 3.5.2 以降でテストされています。

  • まだインストールされていない場合は pip をインストールします。

    • get-pip.pyスクリプトを以下からダウンロードしてください。 https://bootstrap.pypa.io/

    • pipをインストールするには python get-pip.py

    • pipのインストールを確認する pip --version

  • PyCryptodome ライブラリ:

    • このスクリプトは PyCryptodome ライブラリを使用します。

    • PyCryptodomeをインストールする pip install pycryptodome

    • PyCryptodomeのインストールを確認するには、 pip show pycryptodome

Python ファイル作成スクリプト:

  1. [ エージェント ] ボックスにログインします。

  2. ファイラーの SVM からエージェント マシンに NFS または CIFS 共有をマウントします。CD をそのフォルダに移動します。

  3. エージェントのインストール ディレクトリ (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/python/create_dataset.py) からターゲットのマウント場所にスクリプトをコピーします。

  4. マウントされたディレクトリ (例: /root/demo) 内のスクリプトを使用して次のコマンドを実行し、テスト データセット フォルダーとファイルを作成します。

     'python create_dataset.py'
. これにより、「test_dataset」というディレクトリの下のマウントフォルダ内に、さまざまな拡張子を持つ空でないファイル100個が作成されます。

コレクターを再開する

これらの手順を実行する前にコレクターを一時停止した場合は、サンプル ファイルが作成されたら必ずコレクターを再開してください。

プログラムでサンプル ファイルを生成します。

ファイルを作成する前に、まず停止するか、 "データ収集装置を一時停止する"処理。

ランサムウェアアラートを生成するには、Workload Security でランサムウェアアラートをシミュレートする付属のスクリプトを実行します。

シェル:

  1. エージェントのインストール ディレクトリ (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/shell/simulate_attack.sh) からスクリプトをターゲットのマウント場所にコピーします。

  2. マウントされたディレクトリ (例: /root/demo) 内のスクリプトを使用して次のコマンドを実行し、テスト データセットを暗号化します。

     './simulate_attack.sh'
. これにより、「test_dataset」ディレクトリの下に作成されたサンプル ファイルが暗号化されます。

パイソン:

  1. エージェントのインストール ディレクトリ (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/python/simulate_attack.py) からスクリプトをターゲットのマウント場所にコピーします。

  2. Pythonの前提条件は、Pythonスクリプトの前提条件セクションに従ってインストールされていることに注意してください。

  3. マウントされたディレクトリ (例: /root/demo) 内のスクリプトを使用して次のコマンドを実行し、テスト データセットを暗号化します。

     'python simulate_attack.py'
. これにより、「test_dataset」ディレクトリの下に作成されたサンプル ファイルが暗号化されます。

ワークロードセキュリティでアラートを生成する

シミュレータ スクリプトの実行が終了すると、数分以内に Web UI にアラートが表示されます。

注意: 以下の条件がすべて満たされた場合、高信頼度アラートが生成されます。

  1. 監視対象SVMのONTAPバージョンが9.11.1以上

  2. ONTAP自律ランサムウェア保護が設定されている

  3. Workload Security データ コレクターがクラスター モードに追加されました。

Workload Security はユーザーの行動に基づいてランサムウェアのパターンを検出し、ONTAP ARP はファイル内の暗号化アクティビティに基づいてランサムウェアのアクティビティを検出します。

条件が満たされた場合、Workload Security はアラートを高信頼度アラートとしてマークします。

アラート リスト ページの高信頼度アラートの例:

高信頼度アラートの例、リストページ

高信頼度アラートの詳細の例:

高信頼度アラートの例、詳細ページ

アラートを複数回トリガーする

Workload Security はユーザーの行動を学習し、24 時間以内に同じユーザーに対して繰り返しランサムウェア攻撃が行われた場合、アラートを生成しません。

別のユーザーで新しいアラートを生成するには、同じ手順 (テスト データを作成し、テスト データを暗号化する) を再度実行してください。